Lazarus 集团被认为是一场新活动的幕后黑手,在该活动中,一家未透露姓名的软件供应商通过利用另一款备受瞩目的软件中的已知安全漏洞而受到损害。
卡巴斯基表示,这些攻击序列最终导致了 SIGNBT 和LPEClient等恶意软件系列的部署,这是威胁行为者用来进行受害者分析和有效负载传输的已知黑客工具。
安全研究员 Seongsu Park表示:“对手表现出了高度的复杂性,他们采用了先进的规避技术,并引入了 SIGNBT 恶意软件来控制受害者。” “这次攻击中使用的 SIGNBT 恶意软件采用了多样化的感染链和复杂的技术。”
这家俄罗斯网络安全供应商表示,开发被利用软件的公司曾多次成为 Lazarus 攻击的受害者,这表明有人试图窃取源代码或毒害软件供应链,就像3CX 供应链攻击的情况一样。
Park 补充道,Lazarus 集团“继续利用该公司软件中的漏洞,同时瞄准其他软件制造商”。作为最新活动的一部分,据称截至 2023 年 7 月中旬,已有多名受害者被挑选出来。
根据该公司的说法,受害者是通过一种合法的安全软件成为目标的,该软件旨在使用数字证书加密网络通信。该软件的名称并未公开,该软件被武器化以分发 SIGNBT 的确切机制仍然未知。
除了依靠各种策略来建立和维护受感染系统的持久性之外,攻击链还采用内存加载程序作为启动 SIGNBT 恶意软件的渠道。
